Verordnung (EU) 2022/2554 (DORA)

Mit der Verordnung (EU) 2022/2554 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 verpflichtet die Europäische Union Finanzunternehmen zur Stärkung ihrer digitalen operationalen Resilienz. Auch im deutschsprachigen Raum haben sich die englische Bezeichnung „Digital Operational Resilience Act“ und deren Abkürzung DORA etabliert.

Verordnung (EU) 2022/2554
Titel:	Verordnung (EU) 2022/2554 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011
Kurztitel:	Verordnung zur digitalen operationalen Resilienz
Bezeichnung: (nicht amtlich)	DORA, Digital Operational Resilience Act
Geltungsbereich:	EWR
Rechtsmaterie:	Informationstechnologie, Informationssicherheit, Digitalisierung, Cloud-Computing, Auslagerung, Finanzdienstleistungen, Finanztechnologie, Risikomanagement, digitaler Binnenmarkt
Grundlage:	AEUV, insbesondere Art. 114
Datum des Rechtsakts:	14.12.2022
Veröffentlichungsdatum:	27.12.2022
Inkrafttreten:	17.01.2023
Anzuwenden ab:	17.01.2025
Fundstelle:	ABl. L 333/1, 27.12.2022, S. 1–79
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Zielsetzung

Der Rechtsakt zielt darauf ab, die digitale operationale Widerstandsfähigkeit von EU-Finanzunternehmen und ihren IKT-Drittdienstleistern zu verbessern und einen EU-weit einheitlichen Aufsichtsrahmen zu schaffen. So sollen die Anfälligkeit für Cyberbedrohungen und IKT-Störungen über die gesamte Wertschöpfungskette des Finanzsektors reduziert werden. Darüber hinaus beabsichtigt DORA, die nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor zu harmonisieren. Dadurch werde der europäische Finanzmarkt als Ganzes gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie gestärkt.^[1]

Geltungsbereich

Die Verordnung gilt für Finanzunternehmen und IKT-Drittdienstleister. Gemäß Artikel 2^[2] sind Finanzunternehmen umfangreich definiert als:

• Kreditinstitute
• Zahlungsinstitute
• Kontoinformationsdienstleister
• E-Geld-Institute
• Wertpapierfirmen
• Anbieter von Krypto-Dienstleistungen
• Zentralverwahrer
• zentrale Gegenparteien
• Handelsplätze
• Transaktionsregister
• Verwalter alternativer Investmentfonds
• Verwaltungsgesellschaften
• Datenbereitstellungsdienste
• Versicherungs- und Rückversicherungsunternehmen
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
• Einrichtungen der betrieblichen Altersversorgung
• Ratingagenturen
• Administratoren kritischer Referenzwerte
• Schwarmfinanzierungsdienstleister
• Verbriefungsregister

In Abgrenzung dazu sind vom Geltungsbereich ausgenommen:

• Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU
• Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG (Ausnahme vom Anwendungsbereich aufgrund des Volumens)
• Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben
• gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt
• Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU

Grundsatz der Verhältnismäßigkeit

DORA definiert in Artikel 4^[3] den Grundsatz der Verhältnismäßigkeit. Dieser resultiert für kleinere Unternehmen, die trotz ihrer Größe unter den Geltungsbereich dieses Rechtsaktes fallen, in einigen Ausnahmeregelungen. Demnach können in Einklang mit ihrem Gesamtrisikoprofil einige Vorgaben vereinfacht umgesetzt werden. Ein Beispiel hierfür ist der sogenannte vereinfachte IKT-Risikomanagementrahmen nach Artikel 16 mit einem zugehörigen technischen Regulierungsstandard (RTS).

Aufbau der Verordnung

Der Rechtsakt umfasst 64 Artikel, die in 9 Kapitel strukturiert sind:

1. Allgemeine Bestimmungen (Art. 1 bis Art. 4)
2. IKT-Risikomanagement (Art. 5 bis Art. 16)
3. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Art. 17 bis Art. 23)
4. Testen der digitalen operationalen Resilienz (Art. 23 bis Art. 27)
5. Management des IKT-Drittparteienrisikos (Art. 28 bis Art. 44)
6. Vereinbarungen über den Austausch von Informationen (Art. 45)
7. Zuständige Behörden (Art. 46 bis Art. 56)
8. Delegierte Rechtsakte (Art. 57)
9. Übergangs- und Schlussbestimmungen (Art. 58 bis Art. 64)

Ergänzend dazu erarbeiten die ESA technische Regulierungs- und Implementierungsstandards (RTS und ITS), die durch die Veröffentlichung im Amtsblatt der Europäischen Union ebenfalls Rechtscharakter besitzen^[4]:

1. RTS zum IKT-Risikomanagementrahmen (Art. 15)
2. RTS zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
3. RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
4. ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9)
5. RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10)
6. RTS zu Threat Led Penetration Testing (Art. 26.11)
7. RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5)
8. RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
9. ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
10. GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7)
11. RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

Siehe auch

• Bankenaufsichtliche Anforderungen an die IT (BAIT)
• Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
• Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
• Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Weblinks

• Verordnung (EU) 2022/2554 (Digital Operational Resilience Act)

Einzelnachweise

1. Patrik Buchmüller, Sandra Schmolz: EU Digital Operational Resilience Act (DORA). In: haufe.de. 16. Januar 2023, abgerufen am 29. Januar 2024. 
2. Artikel 2, auf eur-lex.europa.eu
3. Artikel 4, auf eur-lex.europa.eu
4. DORA - Digital Operational Resilience Act. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, abgerufen am 22. Januar 2024.